Kebocoran Data (Data Breach) Proyek dan Mitigasi Risikonya

Ada hal menarik dalam persiapan gelaran balap motor GP Mandalika, yaitu insiden unboxing perlengkapan salah satu tim balap yang menyebabkan pihak tim balap bereaksi mengecam insiden ini [Link Berita]. Persiapan balap sirkuit Mandalika pun menjadi polemik atau sorotan karena insiden tersebut. Terlepas dari polemik yang terjadi, dalam insiden ini, saya ingin berbagi informasi mengenai kebocoran data (data breach) dalam konteks pengelolaan proyek.

Dari tinjauan pelaksanaan proyek, kebocoran data merupakan salah satu isu risiko yang perlu dikelola dengan baik. Mungkin terkadang secara tidak sadar, seringkali terjadi aktivitas yang termasuk kategori membocorkan data. Karena itu, setiap pelaksana dari proyek perlu mengetahui seperti apa kondisi kebocoran data (data breach). Risiko kebocoran data selama pelaksanaan proyek sangat mungkin, dari mulai informasi konfidensial terkait desain, pelaksanaan tender, dokumentasi proyek dan sebagainya.

Apa pengertian kebocoran data atau data breach?

Apa sebetulnya definisi kebocoran data itu? Istilah kebocoran data (data breach) merupakan pelanggaran terhadap keamanan data sensitif, diproteksi (protected) atau rahasia (confidensial) yang disalin, dikirimkan, dilihat, dicuri atau digunakan oleh individu yang tidak memiliki kewenangan (unauthorized) untuk melakukan hal tersebut[1].

Adakah standar atau rujukan yang mengatur hal ini?

Standar atau rujukan yang dapat dipakai untuk pengelolaan ini adalah :

  • ISO / IEC 27005 – Information technology – Security techniques – Information security risk management.
  • ISO 31000 tentang Manajemen Risiko (Risk Management).

Apa upaya atau mitigasi untuk mengindari kebocoran data?

Jika ditinjau dari fase kejadiannya, dapat dibagi menjadi tiga fase yaitu: Persiapan sebelum kejadian, Pada saat kejadian, dan setelah kejadian.

Fase I. Persiapan sebelum terjadi kebocoran data

  1. Mereview sistem dan mengidentifikasi letak dan sumber informasi sensitif.
  2. Mengkaji perjanjian atau hukum yang dapat diterapkan untuk kerahasiaan dan notifikasi kebocoran
  3. Mengkaji risiko secara organisasi dan ancamannya
  4. Mengembangkan kebijakan organisasi
  5. Mengembangkan rencana penindakan kebocoran data (Data breach response plan)
  6. Mengembangkan program prosedure dan pelatihan
  7. Memberikan pelatihan terkait kepada pegawai
  8. Mengimplementasikan kontrol keamanan dan pengawasan secara kontinyu
  9. Mendefinisikan dan mengkomunikasikan kebijakan privasi dan membuat laporan kejadian untuk para pemangku kepentingan (stakeholder)

Fase II. Tindakan ketika terjadi Kebocoran

  1. Memvalidasi kebocoran
  2. Menugaskan personil khususs untuk berkoordinasi baik dalam incident response team maupun lintas organisasi
  3. Membentuk tim penindak lanjut insiden
  4. Mengkaji status kebocoran
  5. Mendefinisikan lingkup dan komposisi kebocoran
  6. Mengumpulkan dan menyimpan barang bukti.
  7. Mengikuti protokol komunikasi

Fase III. Setelah Insiden Aktivitas Kebocoran

  1. Secara sistematis mereview dugaan kebocoran data
  2. Menentukan kemungkinan penyebab dan meminimize risiko di masa depan
  3. Menentukan tindak lanjut dan memitigasi penyebab kebocoran
  4. Mengumpulkan umpan balik (feedback)
  5. Mereview tindakan kebocoran, mengirimkan umpan balik, dan menganalisa tren.
  6. Menganalisa dan mendokumentasikan lesson learned
  7. Memodifikasi rencana tindak lanjut kebocoran, strategi, dan kontrol keamanan
  8. Menyempurnakan dan memofifikasi keamanan informasi dan program pelatihan
  9. Menawarkan asistensi bagi individu yang terkena dampak (jika diperlukan)

Non-Disclosure Agreement (NDA)

Ilustrasi Non-Disclosure Agreement

Salah satu upaya atau prosedur untuk menghindari kebocoran data adalah dengan memberlakukan Non-Disclosure Agreement (NDA). NDA merupakan suatu kontrak legal antara setidaknya dua pihak yang mengatur kerahasiaan material, pengetahuan, atau informasi yang ingin dibagikan antara pihak tersebut. Merujuk pada wikipedia, NDA juga dikenal dengan istilah lain yaitu:

  • Confidentially agreement (CA),
  • proprietary information agreement (PIA),
  • secrecy agreement (SA),
  • atau non-disparagement agreement.

Apa pengalaman dan penulis terkait mitigasi kebocoran data?

Dari pengalaman yang dialami penulis, beberapa hal telah diimplementasikan:

  1. Penyiapan dan Penandatanganan NDA
  2. Mengikuti pelatihan terkait kerahasiaan informasi
  3. Sosialisasikan kepada seluruh jajaran team sehingga apa yang menjadi rencana pencegahan dapat dipahami dan dijalankan bersama
  4. Membuat list distribusi informasi, matrix komunikasi
  5. Hanya mengumpulkan data seperlunya, dan menyebarkan informasi seperlunya.
  6. Membuat authorisasi level akses dokumen confidential
  7. Melakukan pelaporan kepada klien jika ada indikasi kebocoran data
  8. Penggunaan jaringan berbagi (sharing) yang aman
  9. Komitmen untuk tidak mendistribusikan informasi sensifif proyek kepada pihak luar atau media sosial
  10. Meminta ijin dan menyertakan kredit jika ada material atau informasi yang hendak disebarkan diluar proyek.

Kesimpulan

Kebocoran data adalah isu yang penting dalam instansi atau organisasi. Dalam beberapa kasus, kebocoran data ini berdampak besar tidak hanya pada pelaksanaan tetapi juga kepada para pemangku kepentingan (stakeholder). Selain kerugian, kebocoran data ini mempunyai dampak hukum serius bagi pelakunya.

Bukan tidak mungkin, dalam beberapa kasus terjadinya kebocoran data disebabkan karena ketidaktahuan bahwa hal tersebut dilarang dan berbahaya bagi suatu institusi atau perusahaan. Prosedur dan system untuk pencegahan kebocoran data penting untuk dibuat, disepakati, disosialisasikan, dan dilaksanakan semua jajaran yang terlibat.

Semoga informasinya bermanfaat, silahkan tinggalkan komentar atau saran terkait tulisan ini. Terima kasih.


[1]State and Tribal Child Welfare Information Systems, Information Security Data Breach Response Plans (PDF) (Report). United States Department of Health and Human Services, Administration for Children and Families. 1 July 2015. p. 2. ACYF-CB-IM-15-04. Archived (PDF) from the original on 11 November 2020.

Leave a Reply

Your email address will not be published. Required fields are marked *